Juan Luis Garijo, Regional Sales Director, CrowdStrike

Los departamentos de seguridad de miles de empresas han invertido en soluciones aisladas de seguridad a lo largo de los años con el objetivo de proteger activos concretos en cada momento. El hecho de que esas soluciones operen de forma independiente abre las puertas de par en par a los criminales, que conocen estas debilidades y las aprovechan en su beneficio.

Aún hoy en día, muchas empresas basan su estrategia de seguridad en herramientas dispares para que les ayuden a identificar y remediar las amenazas que lanzan los ciberdelincuentes. Sin embargo, el hecho de confiar un asunto tan delicado a soluciones aisladas entre sí se ha demostrado absolutamente ineficiente.

Detectar, aislar y remediar un incidente relacionado con la ciberseguridad suele suponer necesidad de recursos y tiempo. Además, en muchas ocasiones, debido a la celeridad en la respuesta, se trata de una actividad propensa a errores. Para llegar al fondo del asunto, los analistas tienen que cribar información, reunir datos de diferentes fuentes o sistemas… y para hacerlo aún más difícil, los cibercriminales suelen ser conscientes de todos estos esfuerzos que realizan las empresas y son capaces de encontrar cualquier resquicio por el que insertar sus garras para conseguir sus objetivos.

Sin necesidad de añadir complejidad a las políticas de seguridad pero consiguiendo mejor visibilidad, se puede apostar por soluciones XDR de detección y respuesta extendida, con las que se conectan los puntos aislados de forma sencilla, aumentando precisamente la visibilidad e incrementando la precisión y la rapidez en la detección. Pero, como siempre, es necesario contar con un enfoque adecuado si queremos disfrutar completamente de las funcionalidades que puede ofrecer esta tecnología ante un entorno de amenazas cada vez más complejo.

Forrester define a las soluciones XDR como la evolución necesaria del EDR, ya que optimizan la detección de amenazas, la investigación, la respuesta y el descubrimiento de incidentes en tiempo real. XDR unifica las detecciones relevantes en el endpoint con la telemetría de las herramientas corporativas, como puedan ser NAV, la seguridad del email, las soluciones y gestión de acceso e identidad, la nube… Se trata de una plataforma nativa en la nube, desarrollada sobre infraestructuras de big data y que otorga a los equipos de seguridad flexibilidad, escalabilidad e importantes oportunidades para la automatización.

Los ciberdelincuentes, un paso por delante

Los criminales saben aprovechar cualquier debilidad en las infraestructuras corporativas y saben que la falta de visibilidad global de los activos en la organización facilita el hecho de que algunas actividades relacionadas con malware que ocurren en esos huecos entre las aplicaciones aisladas puedan pasar desapercibidas para los analistas. Y una vez que consigue infiltrarse, el ciberdelincuente puede moverse lateralmente para buscar brechas y encontrar toda la información que necesita para llevar a cabo sus labores delictivas.

Los datos que generan las soluciones de seguridad, combinados entre sí y relacionados con otras señales (como las alerta de la telemetría de las herramientas EDR) ofrecen un contexto muy valioso para la detección. Y esto es lo que consigue una tecnología XDR: elimina las barreras entre soluciones aisladas para que puedan trabajar juntas y mejoren la visibilidad, la detección y los tiempos de respuesta. Además, en una plataforma nativa en la nube, XDR facilita la escalabilidad y es capaz de recoger y centralizar millones de datos procedentes de los endpoints o de las diferentes soluciones de seguridad, mejorar las funcionalidades de tecnologías de automatización como la IA o el ML, normalizar los datos y reorganizarlos para que se incremente la inteligencia de los análisis e incrementar la productividad de los analistas, ya que pueden trabajar en una sola consola desde la que acceder a toda la información necesaria para llevar a cabo sus tareas.

Las diferencias entre EDR y XDR

Es importante entender hasta dónde llegan las funcionalidades de EDR y dónde empiezan las de XDR. Las soluciones EDR utilizan agentes de software para analizar y capturar las actividades en el endpoint, y almacenarlas en un repositorio centralizado. Las soluciones EDR ofrecen visibilidad, contexto sobre eventos y análisis para detectar automáticamente cualquier actividad sospechosa. Es decir, el EDR se centra en los datos del endpoint.

Por su parte, el XDR recoge, analiza y evalúa las infraestructuras más allá del endpoint. Es decir, XDR es capaz de relacionar las telemetrías combinadas para ofrecer un mejor contexto en la detección. Además, es capaz de analizar de forma proactiva las amenazas más peligrosas y enviar alertas sin aumentar la complejidad del sistema.

En resumen, XDR optimiza la estrategia de ciberseguridad de una organización gracias a la detección rápida y fidedigna de cualquier amenaza. Además, transforma el simple análisis en acciones orquestadas, racionalizando las respuestas para conseguir una mejor remediación; y coordina todos los análisis procedentes de diferentes soluciones de seguridad permitiendo a los profesionales del equipo de seguridad responder de forma rápida y eficiente ante cualquier actividad sospechosa.